Der elektronische Sicherheitsinspektor eSI: Ein Tool zur dynamischen Analyse der IT-Sicherheit eines Systems

Zusammenfassung: Um in heutigen Systemen ein angemessenes Sicherheitsniveau zu erzielen, gehört es zur gängigen Praxis, ein IT-Sicherheitskonzept zu erstellen, die erforderlichen Sicherheitsmaßnahmen umzusetzen und von Zeit zu Zeit anlässlich eines Sicherheitsaudits diese stichprobenartig zu überprüfen. Das weitergehende Ziel, einen kontinuierlichen IT-Sicherheitsprozess einzurichten mit einem stets aktuellen Überblick über die gegenwärtige „Sicherheitslage“ scheitert häufig an der fehlenden technischen Unterstützung. Mit dem „elektronischen Sicherheitsinspektor“ (eSI) wird ein Tool entwickelt, um diesen Mangel zu beseitigen. Die Aufgabe des eSI ist es, die im IT-Sicherheitskonzept beschriebenen Maßnahmen, soweit wie möglich, kontinuierlich durch automatisch durchgeführte Tests auf ihren aktuellen Umsetzungsstand hin zu überprüfen. Auf diese Weise wird der Sicherheitsverantwortliche in die Lage versetzt, den aktuellen Status der Umsetzung der Sicherheitsmaßnahmen zu beurteilen. In einer ersten Realisierungsphase des Tools wurden Maßnahmen aus dem IT-Grundschutzhandbuch des BSI zur Überprüfung ausgewählt.